勒索病毒防范须知
作者: mhj 发布时间:2019/3/20 18:06:05 来源:wlglzx 评论:(0)
一、什么是勒索病毒
最近,一种电脑勒索病毒席卷了全球几十个国家。中国、美国、俄罗斯,欧洲国家的Windows电脑受创最重。
和之前一些大面积爆发的病毒比如熊猫烧香等等不同,黑客开发这种病毒并不是为了单纯地攻击电脑的软硬件,而是为了索财。当电脑受到勒索病毒入侵之后,电脑当中的文件会被加密,导致无法打开。
勒索病毒是利用垃圾邮件、非法网站、恶意软件、系统漏洞传播的计算机病毒,对主机内所有文档进行加密,并威胁用户必需按要求提交赎金才能解密文档.在2017年WannaCry席卷全球后,2018年勒索病毒依然猖獗,GlobeImposter、Crysis、Gandcrab已经成为2018年最流行的勒索病毒。
GandCrab勒索病毒从2018年1月被首次发现之后,就连续出现了V1.0,V2.0,V2.1,V3.0,V4.0,V5.0等变种,非常活跃,目前此勒索病毒无法解密。该勒索病毒主要通过RDP(远程桌面协议)爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,会加密局域网共享目录文件夹下的文件。可感染操作系统:Windows、Linux
Gandcrab将对计算机实施一系列的恶意破坏行为,包括结束安全软件进程、修改注册表、增加自启动项,爆破远程桌面服务和文件共享密码,试图进行网络传播,加密用户文档、并修改文件名后缀为.GDCB、.GRAB、.KRAB或5-10位随机字母,留下勒索信息文件GDCB-DECRYPT.txt、KRAB-DECRYPT.txt、[5-10随机字母]-DECRYPT.html\txt等,用户会发现计算机不能正常使用,所有重要文件打不开,即使按勒索信息提示的途径缴纳一定的赎金也未必能解密被加密过的文件。
二、个人主机防范须知
· 养成良好的安全习惯
1)安装杀毒和安全防护软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行;定期进行全盘杀毒。
免费安全软件有(选其中一个即可):
腾讯安全管家
360安全卫士和杀毒
正版windows10用户启用系统自带杀毒程序defender
2)开启系统自动更新功能或使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和IE、Flash等常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。
3)密码一定要使用强口令,并且不同账号使用不同密码。
口令至少为8位字符,包含大写字母、小写字母、数字、特殊字符。
避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
4)重要文档数据应经常做备份。
保存于本机以外的光盘、移动硬盘、U盘或安全可靠的云盘等空间
5)若长时间离开电脑随手关机。人不在的情况下,不要让电脑长时间保持开机或待机状态
6)尽量不要启用文件共享功能和远程桌面功能
· 减少危险的上网操作
7)不要浏览来路不明的色情、赌博等不良信息网站,这些网站经常被用于发动挂马、钓鱼攻击。
8)不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。
9)不要轻易打开后缀名为js、vbs、wsf、bat等脚本文件和exe、scr等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,应先扫毒后打开。
10)电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全防护软件检测其安全性。
三、实验室公共主机防范须知
用于实验仪器控制或数据收集的公共主机,由于实验人员常用U盘在公共主机上拷贝数据,公共主机可能成为病毒集散地。实验室负责单位务必指定人员负责公共主机安全管理工作。防范目标:防止公共主机成为攻击目标,或病毒传播媒介。可连接互联网的公共主机,参考“个人主机防范须知”。
不联网的公共主机采取以下措施:
1)安装杀毒软件、安全防护软件离线安装包
2)定期做病毒库升级
3)重要实验数据及时收集拷走备份
4)连接移动存储设备,如U盘、移动硬盘时,首先使用安全防护软件检测其安全性。
5)启用操作系统的一键还原功能。
在系统安装最完备的状态下,创建系统还原点。若系统被中毒可直接一键还原
四、服务器防范须知
服务器负责单位务必指定人员负责服务器安全管理工作
1)windows 系统安装杀毒和安全防护软件
Linux系统启用系统自带防火墙或iptable
2)定期升级操作系统和应用插件,定期开展漏洞扫描,及时修复漏洞
3)使用高强度管理口令
4)重要数据定期备份
5)开启关键日志收集功能,为安全事件的追溯提供基础
五、文件共享服务器防范须知
校内部分实验室为便于科研数据管理,开设文件共享服务器。文件共享服务器是勒索病毒感染的高危目标。
服务器负责单位务必指定人员负责文件共享服务器安全管理工作
1)windows 系统安装杀毒和安全防护软件
Linux系统启用系统自带防火墙或iptable
2)限制用户IP段
3)不用使用windows自带的“共享文件”功能
windows自带的“共享文件”功能,用户账号密码直接保存在操作系统。用户主机一旦感染病毒,病毒可通过该功能直接感染服务器。
4)采用FTP或其他专业文件共享管理软件,强制使用高强度管理口令和用户口令
5)要求用户不要使用“记住口令”功能
6)要求用户上传文件前对文件进行病毒扫描
7)重要文档数据定期做异机备份
六、中毒自救方法
勒索病毒发作时,对文件进行加密需要一定的过程和时间,会造成电脑闪屏或者运行速度变慢。用户若怀疑电脑处在病毒发作过程或发现电脑中毒了,按以下操作:
1)立即关机、断开网络。再开机时按键盘的F8,进入 “高级启动选项” 界面,选择“安全模式”
2)进入“安全模式”后,启动杀毒软件查杀病毒。通知同办公室其他人员断开网络开启病毒查杀,拨打网络中心电话65502687上报
3)完成病毒查杀后,备份未被病毒加密的文件
发现得及时这个方法可以挽回部分文件
4)对硬盘进行格式化,并重装系统
郑州师范学院
网络管理中心
2019年3月20日